The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"iptables помогите с цепочкой FORWARD пожалуйста!"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"iptables помогите с цепочкой FORWARD пожалуйста!" 
Сообщение от stasiki Искать по авторуВ закладки on 05-Янв-06, 12:28  (MSK)
NAT, iptables, core 2.4.
Хочу открыть пару портов для выхода  в инет (http, icq, ftp)
Пишу правило:

iptables -A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 20 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 5140 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 5140 -j ACCEPT

Думаю что мои правила составлены не правильно. Подскажите пожалуйста как сделать правильно!? С Уважением.

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "iptables помогите с цепочкой FORWARD пожалуйста!" 
Сообщение от Vadimus Искать по авторуВ закладки on 07-Янв-06, 15:57  (MSK)
А где сами правила NAT ? Я полагаю необходимо добавить
iptables -t nat -A POSTROUTING -s <ip-адрес внутр. сети/маска внутр. сети> -j SNAT --to-source <ip-адрес в интернет>
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables помогите с цепочкой FORWARD пожалуйста!" 
Сообщение от _KAV_ Искать по авторуВ закладки(??) on 09-Янв-06, 11:15  (MSK)
>NAT, iptables, core 2.4.
>Хочу открыть пару портов для выхода  в инет (http, icq, ftp)
>
>Пишу правило:
>
[skip]
>
>Думаю что мои правила составлены не правильно.
Действительно, неправильно... Согласен. Но не совсем понимаю вопрос,если дело идет о _твоем_ выходе в инет.
1. к примеру, пбращение к http идет не _с_ 80 порта, а _на_ 80 порт.
Таким образом, требуется разрешать а) output б) source = твоя машина (можно добавить для паранойи sport = непривегированые порты, хотя это вообще-то излишне)
2. требуется разрешить ответ, при этом только от того хоста, на который обращались. Это делается разнешением на input (опять таки) соединений с состоянием established, related.
Для прочих аналогично. Это если касается выхода этой машины в инет.
Для выхода в инет локалки правила меняются на forward с поправками
в 1.- разрешить forward с интерфейса in-iface= интерфейс в локальной сети (и включить маскарад, а еще лучше SNAT), все прочие правила одинаковы
в 2.- только заменить input на forward
P.S. А если хочешь предоставлять сервисы наружу, то все (почти) правильно, только цепочка-то должна быть input...
И вообще, х.з., чего ты хочешь добиться - по твоему посту это непонятно
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру